Как добавить двухфакторную аутентификацию в Cisco ASA 5500 IPSec VPN

Cisco ASA - это очень популярное VPN-решение, а IP Sec VPN, вероятно, наиболее часто используемая функция. Этот документ описывает, как использовать радиус для добавления двухфакторной аутентификации через WiKID к ASA с использованием интерфейса управления ASDM. Если вы еще не загрузили WiKID Strong Authentication server Мы рекомендуем вам начать там. Как только это настроено, вы можете настроить ASA для запроса аутентификации прокси-сервера непосредственно к WIKID или через сервер MS Radius от NPS до WiKID. Если у вас есть вопросы по сетевой архитектуре, см. Наши eGuide по добавлению двухфакторной аутентификации в вашу сеть ,

Мы предполагаем, что у вас настроен VPN. Мы начнем с добавления сервера RADIUS. Мы рекомендуем использовать RADIUS в качестве протокола по ряду причин - это хороший стандарт, он работает везде и может быть настроен на включение авторизации через Active Directory или LDAP, что позволяет просто отключать пользователя.

Под VPN с удаленным доступом выберите AAA / Local Users и нажмите на AAA Server Group.

Под VPN с удаленным доступом выберите AAA / Local Users и нажмите на AAA Server Group

Нажмите кнопку Добавить , чтобы добавить группу серверов.

Нажмите кнопку Добавить , чтобы добавить группу серверов

Дайте группе серверов полезное имя, такое как « Двухфакторный аутентификация » или « WiKID-RADIUS ». Пробелы не допускаются. Хит ОК.

Теперь вы увидите, что вы можете добавить сервер в нижней панели в разделе «Серверы в выбранной группе». Сделай так.

Укажите интерфейс и IP-адрес вашего сервера RADIUS - NPS, если вы пытаетесь использовать Active Directory, или сервера WiKID, если это не так. Опять же, мы рекомендуем связать авторизацию с AD, так как пользователю нужно всего лишь отключить AD, чтобы полностью заблокировать.

В разделе «Параметры RADIUS» измените порт аутентификации сервера на 1812. (Стандарт изменился с 1645 в 2000 году, поэтому вполне понятно, что Cisco еще не обновилась. Очевидно, что они вложили все свои деньги в обновление ASDM.). Установите для порта учета значение 1813 и создайте или введите секретный ключ сервера. Это общий секрет, который должен быть таким же на вашем сервере RADIUS. Помните, что RADIUS закодирован - не зашифрован, так что нет RADIUS через открытый Интернет! Хит ОК . И Применить .

Затем нажмите на Профиль сетевого (клиентского) доступа и IPsec (IKEv1) соединения

Нажмите Добавить (или изменить). Введите соответствующую информацию, выбрав группу серверов Radius, которую вы создали выше.

Вот и все. ASA готов к двухфакторной аутентификации. На данный момент, если вы используете NPS, вы должны настроить NPS для двухфакторной аутентификации , Мы рекомендуем сначала проверить соединение ASA / NPS с использованием паролей AD, а затем добавить сервер WiKID в качестве сервера радиуса на NPS. Как только это будет завершено, пользователи войдут в систему со своим именем пользователя AD и OTP. NPS будет выполнять авторизацию на основе только имени пользователя. Нет смысла требовать пароль!

Далее мы настроим сервер WiKID. Если вы еще не загрузили WiKID сервер двухфакторной аутентификации , сделай это сейчас. Это бесплатно для пяти пользователей. Мы предполагаем, что он у вас работает и генерирует одноразовые пароли. Начнем с добавления сетевого клиента. Это может быть ваш сервер RADIUS, если вы используете FreeRADIUS или же NPS или сама ASA, если вы хотите, чтобы они говорили напрямую. В WiKIDAdmin перейдите на вкладку « Сетевые клиенты ».

Нажмите « Создать нового сетевого клиента» .

Дайте ему полезное имя, введите IP-адрес сервера RADIUS или Cisco ASA в зависимости от настроек. Выберите RADIUS в качестве протокола и выберите домен WiKID для использования. Нажмите Добавить .

Введите Общий секрет. Помните, что это должно соответствовать тому, что введено на сервере RADIUS, иначе Cisco ASA или WiKID не сможет декодировать пакеты RADIUS.

На терминале WiKID запустите wikidctl restart . Это обновляет кэш RADIUS и, если вы используете наше виртуальное устройство ISO, открывает брандмауэр для IP-адреса сетевого клиента. Если вы используете пакеты, откройте порт 1812 UDP для правильного IP-адреса.

Теперь давайте проверим это. Запустите свой токен WiKID и получите OTP для домена WiKID, который вы указали для сетевого клиента.

Вы можете проверить аутентификацию RADIUS на ASDM в группе серверов AAA / Серверы в выбранной группе без необходимости входа в VPN извне.

Надеюсь, ваш тест прошел успешно:

Если нет, ознакомьтесь с этими советами на устранение неисправностей RADIUS ,

(У нас также есть скринкаст для Cisco 5500 .)

Помните: мы предлагаем пять бесплатных лицензий для двухфакторной аутентификации . Загрузите сервер сегодня !